Як змушувати користувача змінювати паролі - Блог Персональний сайт Михайла Фльонова
У сучасних системах є можливість змусити користувача змінювати паролі через певні часові відтинки і це реально допомагає з точки зору безпеки. Тільки недавно вибігли паролі Yahoo, і база даних виявилася досить старою. Якби паролі змінювалися хоч раз на рік, толку від цієї бази не було б, бо всі паролі там уже старі.
У політиці паролів дуже часто роблять так, щоб користувач вибирав хоча б одну заголовну букву, одну маленьку, одну цифру і хоча б один символ. Така політика унеможливлює вибір пароля типу password.
Але я не бачив політики на зміну паролю. Я працював у PCI оточенні з кредитними картками і навіть там я міг кожні три місяці змінювати пароль та змінювати в ньому лише одну цифру. Я не міг використовувати той самий пароль двічі, але міг міняти його незначно. Я не адмін і не знаю, у Windows є можливість налаштовувати політику, щоб користувачі не вибирали новий пароль, який на 80% збігатиметься з попереднім.
Я вчора торкнувся цієї теми, і мені у відповідь сказали, що Windows не може цього робити, адже він не зберігає попередній пароль і не може його порівняти з новим. Я згоден, що він не зберігає його в чистому вигляді, є тільки хеш, який необоротний. Але зачекайте, при зміні пароля я вказую старий і новий у чистому вигляді. У цей момент Windows шифрує мій старий пароль, порівнює його з тим, що зберігається в базі, щоб переконатися, що це я, і якщо так, то встановлює новий пароль. У цей момент ОС має два паролі в чистому вигляді і хто заважає перевірити на відсоток збігу?
Якщо вдома я щоразу вибираю новий пароль, то на роботі завжди змінював і змінюю лише одну цифру. Мені впадлу запам'ятовувати щоразу новийпароль, тому у мене він складається з якоїсь складної послідовності з цифрою наприкінці. Кожні три місяці ця цифра просто збільшується і ніхто не намагається мене зупинити від такої дурниці.
Сподобалось? Клацніть Лайк, щоб я знав, який контент більш цікавий читачам. Нотатку поки що ніхто не гавкав і ти можеш бути першим